「白帽」黑客:攻擊,是為了防禦



  發現致命漏洞 避免經濟損失

  坐在那裡時間一久,會讓他的身形有些僵硬。電腦前的方家弘,總有一行行代碼在他眼裡飛速劃過。常人眼裡,這是一個枯燥乏味的界面,流淌過一串串看不懂的代碼。但在他的世界里,那是一個個跳動的精靈,閃爍著令他痴迷的光輝。

  只有一個時刻會讓他突然亢奮起來:那就是漏洞被「逮」住的時候。這時,他會像獵人發現獵物一般,興奮之情溢於言表。

  這是一名「白帽子」黑客的工作狀態。「白帽子」黑客,能提前發現安全隱患,並上報給相關企業或組織,以便及時修補漏洞,保障信息安全。而這,也正是他們存在的價值。

  實力讓情懷落地

  見到方家弘時是在北京朝外SOHO,他剛從上海來北京,出差與安全企業交流業務。但在大部分時間裡,方家弘總是在安全實驗室高強度地工作,有的時候,為研究一個問題,他會發狠閉關,吃飯靠外賣解決。

  尋找漏洞的方式就是嘗試攻擊。如同兵法推演一樣,與漏洞過招,勝負只在電光石火之間。要找到這些埋藏很深的漏洞,方家弘經常需要通過各種「黑客攻擊」手段,直至找到脆弱的一環。

  「未知攻,焉知防,攻擊是為了更好地防禦。」方家弘看了看窗外,吐出了這句哲學味很濃的話。

  13年前,剛剛結束高考的方家弘,在志願書上填寫了信息安全專業。這是上海交通大學該專業招收的第一批學生,當時國內開設安全專業的大學屈指可數。這個選擇,源自方家弘孩提時代父親的啟蒙。父親在小學教計算機,所以,他很小就在上海少年宮學習計算機,讀小學時便嘗試編寫程序。

  多年之後,方家弘結束了大學生活,可那時,國內安全行業還不大受重視,因為網路安全具有「後知後覺」的特性,沒有出現問題前,很多企業並不認為有必要在安全上投入。畢業后,他進入微軟,工作的五年內,他努力,也迷茫,總感覺還有勁沒使出來。「為什麼不能為更多人提供安全服務?」

  實力終究讓情懷落地。工作5年後,他和一群朋友創辦了上海碁震雲計算科技有限公司,組建了一支專業的安全研究團隊。

  是非界限,不容模糊

  創業初期是艱難的。方家弘回憶說,幾年前他給一些廠商介紹安全的重要性,常常磨破嘴皮都沒法說服他們接受自己的觀念。「不像開發一款產品,我們做的都是幕後的工作,沒有一個直觀的展示。」方家弘有時也會感到無奈,因為他甚至很難向家人、親戚解釋自己的工作。「當時從事安全比較邊緣,我們同學里現在還做安全的人已經非常少了,很多轉行了。」

  所幸,近年來網路安全問題頻發,使得企業、公眾開始重視安全問題,發現、上報漏洞,安全研究人員也能獲得不錯的收入。

  借著這股春風,他和他的團隊風生水起。言語之中,他的自豪感自然流出:「如今,這個團隊已經成為全國甚至全球頂級的安全研究隊伍,發現並上報了許多高危漏洞。而通常,這種級別的漏洞,如果放到黑色產業市場上去賣,通常能開六位數的價碼。」

  通常來說,這個行業內部有著嚴格的行規,「白帽子」黑客都有明確的是非觀,行業準則也有所限定,既然能靠自己的本事光明正大地賺錢,就絕不會觸犯法律。方家弘開玩笑地說,收入的增加,在一定程度上也避免了許多有才華的年輕人「誤入歧途」。

  最大的漏洞,是人性的弱點

  長期和各種漏洞打交道,讓方家弘在安全上非常敏感。比如關於補丁更新,常人會覺得頻繁更新很麻煩,但他有著職業的看法。

  進入移動互聯網時代,手機、電視、路由器等智能終端設備繁多,軟硬體的開放趨勢,一定程度上也拓寬了黑客非法牟利的途徑,有些應用裡面可能含有惡意程序,會將使用者暴露在風險之下,人們往往還不知情。方家弘晃了晃手機,音調不自覺中提高了,「現在一台手機的價值不僅僅是它的價錢了,裡面還有你的個人隱私、銀行賬戶等信息,一旦被黑客入侵或利用,帶來的損失非常大。」

  他強迫自己養成了一個習慣,每次安全補丁更新,他會第一時間打上,還會要求身邊的親戚朋友也更新。

  他介紹,普通黑客很少能獨立發現並利用漏洞,尤其是高級別的、核心的漏洞。

  「那為什麼手機依然很容易被攻擊?我有些疑惑。」

  「電信詐騙、刷二維碼損失財物等,這些小伎倆不是利用什麼厲害的技術漏洞,而大多是抓住了人貪心的弱點啊!」那一刻,方家弘的言語之中有遺憾,有憤怒,也有無奈。


發表迴響